第四章电子商务安全技术.docVIP

第四章 电子商务安全技术 【学习目标】 随着互联网络与电子商务的飞速发展，各行各业投入大量资金发展电子商务，实现网上商务活动，包括网上购物、网上银行、旅游电子商务、网上证券交易、网上保险和电子政务等，其支付信息、订货信息、谈判信息、商业机密等商务信息在网络环境中存放、传输和处理，安全问题必然引起人们的广泛关注。由于Internet自身的开放性，使网上商务活动面临种种危机，让不少人们步入陷阱蒙受经济损失，为此保障商务信息的安全是进行电子商务的前提。本章将讲述电子商务系统安全的概述，当前电子商务系统安全的现状，网络安全技术以及安全协议。 【旧课复习】 上次课程，我们讲述了电子商务的技术基础，也即互联网技术基础，现在我们做一个简要的回顾，问题：1、什么是计算机网络？主要有哪几种分类？2、互联网的主要应用有哪些？3、什么是IP地址？什么是URL？ 【新课导入】 大家都知道，互联网是一个开放的系统，大家都可以登录访问的大的系统，不像银行专用网络是一个专用的网络，只有授权用户才能访问。居然如此，那么电子商务基于互联网技术上来实现商务活动，则是涉及到相当的财富资金流的安全问题。如果不能达到安全保障，那么电子商务也就无法真正去实现了。我们今天就来学习电子商务系统是如何在开放的互联网技术之上来保证它的安全的。 【理论知识】 4.1 电子商务系统安全概述 电子商务系统即是保证以电子商务为基础的网上交易实现的体系。从某种意义上来说，它其实就是一种计算机信息系统。计算机信息系统是指由计算机及其相关的和配套的设备、设施构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。电子商务系统目前存在的许多安全隐患，我们应该正确的了解和认识电子商务系统的安全问题，才能保证电子商务系统安全可靠运行。 4.1.1 电子商务系统安全的概念 电子商务系统安全是指为保证电子商务系统按照规程正常运行的措施与过程。电子商务系统安全主要由系统实体安全、系统运行环境安全和系统信息安全三个部分组成。系统实体安全是指保护计算机设备、网络设施以及其他媒体免遭自然和人为破坏的措施与过程，包括环境安全、设备安全和媒体安全。系统运行环境安全是指为保障系统功能的安全实现，提供一套安全措施来保护处理过程的安全，包括风险分析、审计跟踪、备份与恢复和应急措施。系统信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨认、控制，即信息安全要确保信息的完整性、保密性、可用性和可控性，包括操作系统安全、数据库安全、网络安全、病毒防护安全、访问控制安全、加密和鉴别。 4.1.2 电子商务安全的现状 目前，电子商务所面临的信息安全现状不容乐观。我国的信息安全已经历了通信保密、数据保护两个发展阶段，现正处于网络信息安全研究阶段。通过学习与实践，已逐步掌握了部分网络安全和电子商务安全技术，进行了安全操作系统、多级安全数据库的研制探索，但由于没有掌握系统核心技术，使得要开发出有自主知识产权的信息产品困难重重，而基于国外具体产品开发出的安全系统则难以完全杜绝安全漏洞或“后门”。在借鉴国外先进技术的基础上，国内一些企业也研制开发出一些安全产品，如防火墙、黑客入侵检测系统、电子商务安全交易系统、安全路由器等。但这些产品安全技术的规范性、完善性、实用性还存在许多不足，还需要不断的修正和强化。 此外，国内不少电子商务企业对网络信息安全意识不强。无论在建网立项、规划设计上，还是在网络运行管理和使用中，更多的是考虑效益、便捷，而把安全、保密、抗攻击放在了次要地位，出现了诸如对网络实用性要求多，而忽略系统安全性；对网络设备投资多，而减少安全设施投入；对设备操作技能培训，而降低了安全防范意识。 4.1.3 电子商务安全隐患 电子商务是基于Internet的开放式商务活动，而信息流与资金流在网络中传递存在着一些不确定因素，信息的发布是否准确、传输中是否完整，资金划拨是否到位，因此电子商务中存在信息存储、传输和交易双方的信息安全隐患。 1. 电子商务信息存储安全隐患 电子商务信息存储安全是指商务信息在网络计算机系统存放中的安全。其隐患主要包括：非授权调用信息和篡改信息。企业的内部网（Intranet）与因特网（Internet）连接后，电子商务的信息存储安全面临着内部和外部两方面的隐患： （1）内部隐患：主要是企业的用户故意或无意的非授权调用电子商务信息或未经许可随意增加、删除、修改电子商务信息。 （2）外部隐患：主要是外部人员私自闯入企业Intranet，对电子商务信息故意或无意的非授权调用或增加、删除、修改。隐患的主要来源是竞争对手的恶意闯入、信息间谍的非法闯入以及黑客的骚扰闯入。 2. 电子商务信息传输安全隐患 电子商务信息传输安全是指商务活动运营过程中，物